درود بیکران
روزگاری خوش و روشن به بلندای یلدا برایتان آرزو دارم

آسیب‌پذیری ماژول Endpoint Manager در رابط وب مدیریت سیستم‌های تلفن IP FreePBX به دلیل نقص‌هایی در مکانیزم احراز هویت ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دسترسی غیرمجاز به سیستم را بدهد.

CVE-2025-66039

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ماژول User Manager برای سازماندهی احراز هویت جهت دسترسی به نرم‌افزار آسیب‌پذیر؛
- استفاده از ابزارهای فایروال برنامه‌های وب (WAF) برای فیلتر کردن ترافیک شبکه؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر؛
- استفاده از سیستم‌های SIEM برای رصد رویدادهای مرتبط با تغییر مکانیزم احراز هویت؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- استفاده از شبکه‌های خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.

استفاده از توصیه‌های تولیدکننده:
به‌روزرسانی نرم‌افزار به نسخه 16.0.44 و بالاتر؛
به‌روزرسانی نرم‌افزار به نسخه 17.0.23 و بالاتر؛
https://github.com/FreePBX/security-reporting/security/advisories/GHSA-9jvh-mv6x-w698
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری در سیستم مدیریت زیرساخت فناوری اطلاعات HPE OneView به دلیل مدیریت نادرست تولید کد رخ داده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند اجازه دهد کد دلخواه خود را اجرا کند.

BDU:2025-16117
CVE-2025-37164

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر با استفاده از طرح دسترسی بر اساس «فهرست‌های سفید»؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- محدود کردن دسترسی به دستگاه از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04985en_us&docLocale=en_US#vulnerability-summary-1
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری کنسول مدیریت نرم‌افزار فایروال‌های SonicWall SMA1000 به دلیل نقص در مکانیزم تفکیک دسترسی ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه افزایش امتیازات خود را بدهد.

BDU:2025-16145
CVE-2025-40602

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN)؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019/dr_kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری پلتفرم اتوماسیون گردش کار N8n مربوط به کنترل ناکافی منابع با مدیریت پویا است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دسترسی غیرمجاز به پلتفرم را بدهد.

BDU:2025-16183
CVE-2025-68613

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به پلتفرم آسیب‌پذیر؛
- بخش‌بندی شبکه برای محدود کردن دسترسی به پلتفرم آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- حداقل کردن امتیازات کاربران؛
- محدود کردن دسترسی به دستگاه از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
به‌روزرسانی نرم‌افزار به نسخه‌های 1.120.4، 1.121.1، 1.122.0:
https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR

آسیب‌پذیری تابع SafeUrlFilter() در نرم‌افزار روترهای Tenda WH450 مربوط به خروج عملیات از محدوده بافر در حافظه است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد کد دلخواه اجرا کند و باعث ایجاد اختلال در سرویس شود

CVE-2025-15010

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامه‌های وب (WAF) برای فیلتر کردن درخواست‌های HTTP؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه آسیب‌پذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

منابع اطلاعات:
https://github.com/z472421519/BinaryAudit/blob/main/PoC/BOF/Tenda_WH450/SafeUrlFilter/SafeUrlFilter.md#reproduce/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری در پیاده‌سازی پروتکل Zlib در سیستم مدیریت پایگاه داده MongoDB مربوط به پردازش نادرست ناسازگاری پارامتر طول است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد اطلاعات محافظت‌شده را افشا کند.

BDU:2025-16225
CVE-2025-14847

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- محدود کردن امکان استفاده از پروتکل Zlib؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌های تولیدکننده:
https://jira.mongodb.org/browse/SERVER-115508
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری تابع sub_F934() در نرم‌افزار میکروکنترلر آداپتور Wi-Fi مدل TRENDnet TEW-800MB به دلیل عدم انجام اقدامات پاک‌سازی داده‌ها در سطح کنترل‌کننده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا با ارسال درخواست‌های HTTP به‌طور خاص ساخته شده، دستورات دلخواه را اجرا کند.

CVE-2025-15137

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامه‌های وب (WAF) برای فیلتر کردن درخواست‌های HTTP؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

منابع اطلاعات:
https://pentagonal-time-3a7.notion.site/TRENDnet-TEW-800MB-NTP-2c7e5dd4c5a580f999adcaff2c31978b/Dr_Kiani
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

بات‌نت جدید اینترنت اشیاء مبتنی بر Mirai، که نام Aisuru را به خود اختصاص داده است، برای راه‌اندازی چندین حمله قدرتمند و گسترده DDoS با سرعت بیش از ۲۰ ترابیت بر ثانیه یا ۴ میلیارد بسته در ثانیه استفاده شده است که پیش‌تر توسط Cloudflare گزارش شده بود.

بر اساس داده‌های Netscout، Aisuru به کلاس جدیدی از بدافزارها تعلق دارد که قادر به انجام حملات DDoS است و به عنوان TurboMirai شناخته می‌شود.

اپراتورها این بدافزار را در سرویس‌هایی برای انجام حملات DDoS سفارشی به کار می‌گیرند و در عین حال از هدف قرار دادن اهداف دولتی، انتظامی، نظامی و سایر اهداف پرخطر خودداری می‌کنند.

مطالعات نشان می‌دهد که Aisuru عمدتاً به پلتفرم‌های بازی آنلاین حمله کرده است.

مشابه سایر بات‌نت‌های کلاس TurboMirai، Aisuru قادر است ترافیک حملات را در هر گره بات‌نت افزایش دهد و دارای قابلیت‌های گسترده‌ای است که به اپراتورها اجازه می‌دهد از آن برای جعل اطلاعات کاربری، استخراج داده با استفاده از هوش مصنوعی، فیشینگ و ارسال هرزنامه استفاده کنند.

این بات‌نت از پروکسی‌های مقیم برای انعکاس حملات HTTPS-DDoS بهره می‌برد.

گره‌های آن عمدتاً شامل روترها، سیستم‌های نظارت تصویری و سایر دستگاه‌های آسیب‌پذیر هستند که تحت نسخه‌های مشابه فریمور OEM کار می‌کنند.

اپراتورها به طور مداوم به دنبال روش‌های جدید بهره‌برداری از آسیب‌پذیری‌ها برای گسترش بات‌نت هستند.

بات‌نت قابلیت ارسال انبوه درخواست‌های UDP، TCP، GRE و DNS را به صورت مستقیم دارد، مشابه بات‌نت اصلی Mirai.

Aisuru قادر است حملات با پهنای باند بالا (بسته‌های بزرگ، تعداد بیت زیاد در ثانیه) و همچنین حملات با توان عملیاتی بالا (بسته‌های کوچک، تعداد زیاد بسته در ثانیه) را اجرا کند و همچنین می‌تواند با حملات خروجی و متقاطع عملکرد سرویس‌ها را مختل کند.

Netscout اشاره می‌کند که بات‌نت‌های اینترنت اشیاء کلاس Aisuru و TurboMirai عمدتاً حملات DDoS تک‌برداری را به صورت مستقیم اجرا می‌کنند و گاهی حملات چندبرداری را با سایر سرویس‌های زیرزمینی DDoS ترکیب می‌کنند.

حملات شامل سیل UDP با بسته‌های متوسط، بزرگ یا کوچک، سیل TCP با بسته‌های کوچک یا بزرگ و تا ۱۱۹ ترکیب مختلف پرچم TCP است.

برخی از ترافیک‌ها بسته‌های HTTP قانونی را شبیه‌سازی می‌کنند، در حالی که حملات HTTPS از پروکسی‌های مقیم داخلی استفاده می‌کنند.

محققان همچنین اشاره می‌کنند که ترافیک بات‌نت جعل نمی‌شود زیرا دسترسی ویژه‌ای وجود ندارد.

علاوه بر این، بات‌ها بخشی از شبکه‌های دسترسی پهن‌باند با مکانیزم‌های تأیید آدرس مبدأ (SAV) فعال هستند.

Netscout معتقد است که این امکان ردیابی و همبستگی با اطلاعات مشترک را فراهم می‌کند که به متخصصان امنیتی اجازه می‌دهد دستگاه‌های آلوده را شناسایی، قرنطینه و اصلاح کنند.

حفاظت جامع نیازمند ابزارهای نظارتی در تمام مرزهای شبکه است و مهار حملات خروجی و بین‌شبکه‌ای به همان اندازه مهار حملات ورودی اهمیت دارد.

سیستم‌های هوشمند مقابله با حملات DDoS (IDMS)، روش‌های پیشرفته زیرساخت شبکه (BCP) مانند فهرست‌های کنترل دسترسی (iACL) و حذف پیشگیرانه آسیب‌پذیری‌های CPE اهمیت ویژه‌ای دارند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

مرکز امنیت سایبری کانادا از افزایش فعالیت‌های هکری که سیستم‌های کنترل صنعتی (ICS) قابل دسترسی از طریق اینترنت را هدف قرار داده‌اند، گزارش می‌دهد.

متخصصان اشاره می‌کنند که هکرها بارها سیستم‌های زیرساختی حیاتی در سراسر کشور را هک کرده‌اند که به آن‌ها اجازه داده پارامترهای کنترل ICS را تغییر دهند، که این امر می‌توانست منجر به ایجاد موقعیت‌های خطرناک شود.

به طور خاص، در بولتن، ناظر به سه حادثه اخیر اشاره می‌کند که در آن فعالان هکری در عملکرد سیستم‌های حیاتی تصفیه آب، شرکت نفت و گاز و یک مزرعه کشاورزی دخالت کرده‌اند.

این حوادث منجر به اختلالات عملکرد، هشدارهای کاذب و خطر بروز شرایط اضطراری شده‌اند.

در نتیجه حمله به ایستگاه آب، شاخص‌های فشار آب تغییر کرد که منجر به کاهش کیفیت خدمات به مردم نشد.

مورد دیگر در یک شرکت نفت و گاز کانادایی رخ داد که در آن نقص‌هایی در عملکرد سطح‌سنج خودکار مخازن (ATG) شناسایی شد که منجر به فعال شدن هشدار کاذب گردید.

مورد سوم در خشک‌کن دانه در یک مزرعه کانادایی اتفاق افتاد که دما و رطوبت تنظیم می‌شد، که اگر مشکل به موقع برطرف نمی‌شد، می‌توانست به وضعیت بسیار خطرناکی منجر شود.

با این حال، مقامات کانادا معتقدند که همه این حملات برنامه‌ریزی شده یا سازمان‌یافته پیچیده نبوده‌اند، بلکه بیشتر ماهیتی فرصت‌طلبانه داشته و عمدتاً برای ایجاد هیاهو در رسانه‌ها، تضعیف اعتماد به دولت و آسیب رساندن به تصویر کشور بوده‌اند.

اگرچه هیچ یک از سازمان‌های هدف‌گرفته شده در کانادا دچار پیامدهای فاجعه‌بار نشدند، این حملات نشان‌دهنده خطرات جدی ناشی از محافظت ضعیف اجزای ICS، از جمله PLC، SCADA، HMI و دستگاه‌های صنعتی اینترنت اشیا است که در عمل فقط مختص کانادا نیست.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

در ایالات متحده آمریکا حادثه‌ای جنجالی جدید رخ داده است که شرکت بزرگ ملی مخابراتی Ribbon Communications را تحت تأثیر قرار داده است.
شرکت آمریکایی راه‌حل‌های ارتباطی و شبکه‌ای و همچنین فناوری‌های اصلی برای شبکه‌های ارتباطی ارائه می‌دهد. راه‌حل‌های آن مورد اعتماد ارائه‌دهندگان خدمات پیشرو، شرکت‌ها و زیرساخت‌های حیاتی است.

در میان مشتریان Ribbon Communications شرکت‌هایی مانند BT، Verizon، Deutsche Telekom، CenturyLink، TalkTalk، Softbank و Tata و همچنین وزارت دفاع ایالات متحده و شهر لس‌آنجلس دیده می‌شوند.

در گزارش مالی سه‌ماهه منتشر شده، ارائه شده به کمیسیون بورس و اوراق بهادار (SEC)، Ribbon اعلام کرد که در اوایل سپتامبر سال جاری دسترسی غیرمجاز به شبکه فناوری اطلاعات خود را کشف کرده است.

تحقیقات درباره این حادثه هنوز ادامه دارد، اما نتایج اولیه نشان می‌دهد که هکرها ممکن است دسترسی اولیه را از دسامبر ۲۰۲۴ به دست آورده باشند.

در زمان ارائه گزارش سه‌ماهه، Ribbon طبق نسخه رسمی هیچ مدرکی مبنی بر دسترسی یا سرقت اطلاعات مهم توسط هکرها نیافته است.

با این حال، Ribbon اذعان کرده است که «چند فایل مشتری که خارج از شبکه اصلی روی دو لپ‌تاپ ذخیره شده بودند، ظاهراً به دست مهاجمان افتاده‌اند».

مشتریان آسیب‌دیده به طور مناسب مطلع شده‌اند.

به طور کلی، Ribbon معتقد است که نفوذ کشف شده تأثیر قابل توجهی بر فعالیت‌های آن نخواهد داشت.

Ribbon جزئیات فنی نفوذ را فاش نکرده است، اما معتقد است که گروه APT نامعلومی که احتمالاً با طرف چینی مرتبط است، در این حمله دست داشته است.

در پی رسوایی‌های اخیر پیرامون هکرهای چینی همه‌جا حاضر، به ویژه مورد F5، چنین انتسابی به صورت «خودکار» شکل گرفته است.

به هر حال، تحقیقات هنوز به پایان نرسیده و احتمالاً این موضوع به دو حرف محدود نخواهد ماند.

اما باید دید.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

دویچه وله، یک رسانه بین‌المللی که در سال ۱۹۶۰ تأسیس شد و توسط دولت آلمان تأمین مالی می‌شود، هک شده است.

یک کپی از پایگاه داده SQL از ۱۵ زیردامنه این شرکت خبری به قیمت ۲۵۰۰ دلار در فضای مجازی زیرزمینی به فروش می‌رسد (مدرک آن نیز ارائه شده است).

به گفته فروشنده، داده‌های فاش شده شامل آدرس‌های ایمیل کاربر، نام‌های کاربری کامل، اطلاعات احراز هویت (از جمله رمزهای عبور سرور ایمیل و FTP) و همچنین پارامترهای داده و پیکربندی برای منابع DW است.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

مقامات استرالیایی نسبت به یک کمپین APT فعال که دستگاه‌های Cisco IOS XE وصله نشده را هدف قرار می‌دهد، هشدار می‌دهند و هدف آن آلوده کردن روترها با پوسته وب BadCandy مبتنی بر Lua است.

این آسیب‌پذیری، CVE-2023-20198، از بالاترین شدت برخوردار است و به مهاجمان از راه دور، بدون احراز هویت، اجازه می‌دهد تا یک حساب مدیر محلی از طریق رابط کاربری وب ایجاد کرده و کنترل دستگاه‌ها را به دست بگیرند.

سیسکو این آسیب‌پذیری را در اکتبر 2023 وصله کرد و پس از آن به عنوان یک آسیب‌پذیری فعال مورد سوءاستفاده علامت‌گذاری شد.

دو هفته بعد، یک بهره‌برداری عمومی ظاهر شد که سوءاستفاده گسترده از این آسیب‌پذیری را برای نصب درهای پشتی در دستگاه‌های متصل به اینترنت تسهیل می‌کرد.

پس از نصب، BadCandy به مهاجمان از راه دور اجازه می‌دهد تا دستورات را با امتیازات ریشه در دستگاه‌های آسیب‌دیده اجرا کنند.

پس از راه‌اندازی مجدد، از دستگاه‌ها حذف می‌شود. با این حال، با توجه به عدم وجود وصله در این دستگاه‌ها و با فرض اینکه رابط وب همچنان در دسترس است، مهاجمان می‌توانند به راحتی آن را دوباره نصب کنند.

اداره سیگنال‌های استرالیا تخمین می‌زند که تا ژوئیه ۲۰۲۵، بیش از ۴۰۰ دستگاه در استرالیا به طور بالقوه در برابر حمله BadCandy آسیب‌پذیر بوده‌اند و بیش از ۱۵۰ دستگاه باقی مانده است.

در حالی که تعداد آلودگی‌ها به طور پیوسته در حال کاهش بوده است، ASD نشانه‌هایی از سوءاستفاده مجدد از همان نقاط پایانی را شناسایی کرده است، حتی با وجود اینکه به عاملان مسئول این نقض به درستی اطلاع داده شده بود.

به گفته این آژانس، مهاجمان می‌توانند به سرعت حذف بدافزار BadCandy را ردیابی کرده و از همان دستگاه برای نصب مجدد آن استفاده کنند.

به گفته ASD، این آسیب‌پذیری قبلاً توسط عاملان APT، از جمله Salt Typhoon که به طور گسترده منتشر شده است، مورد سوءاستفاده قرار گرفته است. اعتقاد بر این است که این بدافزار مسئول مجموعه‌ای از حملات علیه ارائه دهندگان بزرگ ارتباطات از راه دور در ایالات متحده و کانادا است.

در حالی که این تهدید در حال حاضر فاقد یک نسبت‌دهی واضح است، ASD افزایش اخیر فعالیت‌ها را به مجرمان سایبری تحت حمایت دولت نسبت می‌دهد.

مدیران سیستم‌های Cisco IOS XE در سراسر جهان باید توصیه‌های کاهش خطرات ارائه شده توسط فروشنده که در مشاوره مربوطه ذکر شده است، و همچنین راهنمای مقاوم‌سازی دستگاه IOS XE را دنبال کنند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

محققان Socket Security بسته‌های مخرب NuGet را که در سال‌های ۲۰۲۳ و ۲۰۲۴ دانلود شده بودند، کشف کردند که برای اجرای کد مخرب پس از تاریخ‌های مشخص در سال‌های ۲۰۲۷ و ۲۰۲۸ طراحی شده‌اند و قادر به ایجاد حمله DoS به پایگاه‌های داده و سیستم‌های ICS هستند.

مجموعه کشف شده شامل نه بسته مخرب NuGet است که توسط کاربری به نام shanhai666 نوشته شده است.

این بسته‌ها در مجموع ۹۴۸۸ بار دانلود شده‌اند.

این بسته‌ها عبارتند از: MyDbRepository، MCDbRepository، Sharp7Extend، SqlDbRepository، SqlRepository، SqlUnicornCoreTest، SqlUnicornCore، SqlUnicorn.Core و SqlLiteRepository.

طبق گفته Socket، هر نه بسته مخرب همانطور که تبلیغ شده بودند کار می‌کنند و باعث می‌شوند توسعه‌دهندگان بدون اینکه متوجه شوند حاوی یک بمب منطقی هستند که برای فعال شدن در آینده طراحی شده است، آنها را دانلود کنند.

مهاجم در مجموع ۱۲ بسته را منتشر کرد که سه بسته باقی مانده همانطور که در نظر گرفته شده بود و بدون هیچ گونه عملکرد مخربی کار می‌کردند.

اکنون همه آنها از NuGet حذف شده‌اند.

Socket Security همچنین خاطرنشان می‌کند که Sharp7Extend کاربران کتابخانه قانونی Sharp7 را هدف قرار می‌دهد - یک پیاده‌سازی .NET برای تعامل با PLC های Siemens S7.

گنجاندن Sharp7 در بسته NuGet حس امنیت کاذبی ایجاد می‌کند و این واقعیت را پنهان می‌کند که این کتابخانه مخفیانه کد مخرب را هنگام اجرای برنامه با استفاده از متدهای افزونه C# در پایگاه داده یا عملیات PLC تزریق می‌کند.

متدهای افزونه به توسعه‌دهندگان اجازه می‌دهند بدون تغییر کد منبع، متدهای جدیدی را به انواع داده‌های موجود اضافه کنند - یک ویژگی قدرتمند C# که مهاجمان برای رهگیری از آن سوءاستفاده می‌کنند.

هر بار که یک برنامه یک کوئری پایگاه داده یا عملیات PLC را انجام می‌دهد، این متدهای افزونه به طور خودکار اجرا می‌شوند و تاریخ فعلی را با تاریخ‌های شروع (که در اکثر بسته‌ها به صورت کد ثابت هستند و توسط پیکربندی در Sharp7Extend رمزگذاری شده‌اند) مقایسه می‌کنند.

هشت بسته سیستم‌های پایگاه داده را هدف قرار می‌دهند و فرآیند پایگاه داده را با احتمال 20٪ پس از تاریخ شروع خاتمه می‌دهند.

در مورد Sharp7Extend، منطق مخرب بلافاصله پس از نصب فعال می‌شود و تا 6 ژوئن 2028 فعال می‌ماند و پس از آن مکانیسم خاتمه به طور خودکار متوقف می‌شود.

این بدافزار PLCها را با یک مکانیسم خرابکاری دوگانه هدف قرار می‌دهد: خاتمه تصادفی فوری فرآیند و خطاهای نوشتن خاموش 30 تا 90 دقیقه پس از نصب. پس از 6 ژوئن 2028، این بسته مانع از نوشتن داده‌های جدید توسط PLC می‌شود و عملاً دستگاه را از بین می‌برد.

قرار است پیاده‌سازی‌های خاصی از SQL Server، PostgreSQL و SQLite، همراه با سایر بسته‌ها، در 8 آگوست 2027 (MCDbRepository) و 29 نوامبر 2028 (SqlUnicornCoreTest و SqlUnicornCore) راه‌اندازی شوند.

این رویکرد مرحله‌ای به مهاجم زمان بیشتری می‌دهد تا قبل از فعال شدن بدافزار با تأخیر فعال‌سازی، به قربانیان دسترسی پیدا کند و در عین حال بلافاصله سیستم‌های ICS را مختل کند.

اگرچه در حال حاضر مشخص نیست چه کسی پشت حمله زنجیره تأمین است، Socket معتقد است که تجزیه و تحلیل کد منبع و انتخاب نام "shanhai666" نشان می‌دهد که ممکن است کار یک مهاجم، احتمالاً با اصالت چینی، باشد.

توسعه‌دهندگانی که در سال ۲۰۲۴ بسته‌ها را نصب کرده‌اند، احتمالاً تا سال ۲۰۲۷-۲۰۲۸، زمانی که بدافزار پایگاه داده مستقر می‌شود، به پروژه‌ها یا شرکت‌های دیگر منتقل خواهند شد. احتمال ۲۰ درصدی اجرا، حملات را به عنوان اشکالات تصادفی یا خرابی‌های سخت‌افزاری پنهان می‌کند.

این امر به نوبه خود، واکنش به حادثه و تحقیقات فارنزیک را دشوار خواهد کرد، زیرا ردیابی بدافزار تا نقطه ورود آن، تعیین اینکه چه کسی وابستگی آسیب‌دیده را نصب کرده یا ایجاد یک جدول زمانی مشخص از هک غیرممکن خواهد بود و عملاً ردپای حمله را پاک می‌کند.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

ما همچنان به معرفی رایج‌ترین آسیب‌پذیری‌ها و تهدیدهای مرتبط می‌پردازیم:

۱. محققان سیسکو آسیب‌پذیری‌های متقاطع را در هشت مدل LLM متن‌باز موجود در بازار از شرکت‌هایی مانند OpenAI، Alibaba، Mistral، Google و دیگران کشف کردند. این تعجب‌آور نیست، زیرا این مدل‌ها به ندرت پس از انتشار کد منبع به‌روزرسانی می‌شوند.

۲. Cyderes یک آسیب‌پذیری در Advanced Installer، چارچوبی برای ایجاد نصاب‌های ویندوز، کشف کرد که به مهاجمان اجازه می‌دهد مکانیسم‌های به‌روزرسانی برنامه را ربوده و در صورت عدم امضای دیجیتالی بسته‌های به‌روزرسانی، کد خارجی مخرب را اجرا کنند.

Advanced Installers توسط برخی از بزرگترین شرکت‌های جهان مانند اپل، مایکروسافت، گوگل و IBM استفاده می‌شود.

۳. محققان Tenable هفت آسیب‌پذیری و روش حمله را شناسایی کردند که کاربران ChatGPT را هدف قرار می‌دهد. این نقص‌ها به مهاجمان اجازه می‌دهد تا اطلاعات حساس را از حافظه و تاریخچه چت کاربران سرقت کنند.

۴. محققان Zscaler یک آسیب‌پذیری دسترسی به فایل و SSRF (CVE-2025-12058) را در پلتفرم هوش مصنوعی Keras کشف کردند.

۵. گروهی از محققان وابسته به موسسه فناوری ماساچوست (MIT) گزارشی نسبتاً بحث‌برانگیز ارائه دادند که محکومیت گسترده‌ای را در حوزه امنیت اطلاعات برانگیخت.

مردم این ادعا را که هوش مصنوعی زیربنای ۸۰٪ از کل حملات باج‌افزاری مدرن است، زیر سوال برده‌اند.

محققان برجسته و کارشناسان امنیت اطلاعات، یافته‌های این مطالعه را مورد انتقاد قرار دادند و آنها را از نظر فنی بی‌اساس و چیزی بیش از یک تبلیغ تبلیغاتی ندانستند.

۶. گوگل نیز به نوبه خود، گزارش خود را در مورد گونه‌های بدافزار مبتنی بر هوش مصنوعی منتشر کرد.

تنها پنج مورد از آنها وجود دارد و همه آنها اساساً "سرباره" هستند. با این حال، یکی از این پنج مورد در نهایت به یک پروژه واقعی دانشمندان تبدیل شد.

بنابراین، طبق گفته گوگل، دوران بدافزارهای تمام عیار مبتنی بر هوش مصنوعی هنوز فرا نرسیده است، اما توسعه‌دهندگان بدافزار هنوز در حال ایجاد ابزارهای LLM خود برای اهداف بسیار خاص هستند.

۷. گزارش "آزمایشگاه‌های تهدید: تولید ۲۰۲۵" نتسکوپ، جزئیات آخرین تهدیدات امنیت سایبری را که بر سازمان‌های صنعت تولید تأثیر می‌گذارند، شرح می‌دهد.

به طور خاص، این موضوع روندهایی مانند وابستگی فزاینده به زیرساخت‌های ابری و تکنیک‌های پیچیده‌ی نفوذ به زنجیره‌ی تأمین که منجر به اختلال در فرآیندهای تولید می‌شود را برجسته می‌کند.


۸. طبق گفته‌ی Palo Alto Networks، مهاجمان از آسیب‌پذیری CVE-2025-21042 برای ارائه‌ی جاسوس‌افزار Landfall برای اندروید به کاربران در خاورمیانه با استفاده از تصاویر DNG دستکاری‌شده‌ی خاص و واتس‌اپ سوءاستفاده کرده‌اند.

این حملات ظاهراً گوشی‌های سامسونگ گلکسی را هدف قرار داده‌اند و مهاجم ممکن است Landfall را با استفاده از یک اکسپلویت ZeroClick مستقر کرده باشد.


سامسونگ در ماه آوریل CVE-2025-21042 را وصله کرد، اما در اعلامیه‌ی این غول فناوری هیچ اشاره‌ای به سوءاستفاده از این آسیب‌پذیری در سطح اینترنت نشده است.


Palo Alto اظهار داشت که حملات Landfall حداقل از ژوئیه ۲۰۲۴ ادامه داشته است و CVE-2025-21042 حتی قبل از انتشار وصله‌های سامسونگ، به عنوان یک آسیب‌پذیری روز صفر مورد سوءاستفاده قرار می‌گرفته است.


CVE-2025-21042 مشابه CVE-2025-21043 است، یکی دیگر از آسیب‌پذیری‌های روز صفر که اخیراً توسط سامسونگ در همان کتابخانه تصویر وصله شده است.

چند هفته قبل از افشای CVE-2025-21043، اپل CVE-2025-43300 را وصله کرد، آسیب‌پذیری مشابهی که گمان می‌رود با آسیب‌پذیری روز صفر واتس‌اپ (CVE-2025-55177) مرتبط باشد که برای ارائه جاسوس‌افزار به مشتریان اپل استفاده می‌شود.

شرکت Palo Alto Networks نتوانست تأیید کند که زنجیره بهره‌برداری CVE-2025-43300/CVE-2025-55177 برای ارائه جاسوس‌افزار Landfall به کاربران iOS استفاده شده است.

مهاجم شناسایی نشده و اکنون با نام CL-UNK-1054 ردیابی می‌شود.
💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

😆QNAPهفت آسیب پذیری روز صفر را پس از نمایش در مسابقات Pwn2Own 2025 وصله کرد

QNAP، تولیدکننده تایوانی، به‌روزرسانی‌های امنیتی اضطراری را منتشر کرده است که هفت آسیب‌پذیری روز صفر را که در مسابقات Pwn2Own ایرلند 2025 نشان داده شده بود، وصله می‌کند.

این آسیب‌پذیری‌ها نه تنها یک محصول، بلکه کل اکوسیستم کیو ان ای پی، از جمله QTS، QuTS hero، نرم‌افزار پشتیبان‌گیری (HBS 3 Hybrid Backup Sync)، نرم‌افزار حفاظت از داده‌ها (Hyper Data Protector) و حتی اسکنر آنتی ویروس (Malware Remover) را تحت تأثیر قرار می‌دهند.

🛡 نسخه‌های نرم‌افزاری آسیب‌پذیر (نیازمند به‌روزرسانی فوری):

▪️Hyper Data Protector: تمام نسخه‌های قبل از ۲.۲.۴.۱ (CVE-2025-59389)
▪️Malware Remover: تمام نسخه‌های قبل از ۶.۶.۸.۲۰۲۵۱۰۲۳ (CVE-2025-11837)
▪️HBS 3 Hybrid Backup Sync: تمام نسخه‌های قبل از ۲۶.۲.۰.۹۳۸ (CVE-2025-62840، CVE-2025-62842)
▪️QTS 5.2.7: تمام نسخه‌های قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.2.7: همه نسخه‌های قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)
▪️QuTS hero h5.3.1: تمام نسخه‌های قبل از ساخت ۲۰۲۵۱۰۲۴ (CVE-2025-62847، CVE-2025-62848، CVE-2025-62849)

هر هفت آسیب‌پذیری توسط تیم Summoning، DEVCORE، تیم DDOS و یک کارآموز از CyCraft technology نشان داده شده است.

👆QNAP اکیداً به کاربران توصیه می‌کند که به آخرین نسخه‌های نرم‌افزار به‌روزرسانی کنند.

💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

باند باج‌افزار Cl0p در حال تکمیل آخرین کمپین خود است و انتشار اسامی قربانیان هک Oracle E-Business Suite (EBS) را که گفته می‌شود در اواخر سپتامبر ایمیل‌های باج‌خواهی دریافت کرده‌اند، در DLS آغاز کرده است.

هکرها تقریباً 30 شرکت بزرگ آسیب‌دیده از جمله Logitech، The Washington Post، Cox Enterprises، Pan American Silver، LKQ Corporation و Copeland را فهرست کرده‌اند.

ما قبلاً در اواسط اکتبر به برخی از آنها اشاره کردیم. اولین شرکت‌هایی که شناسایی شدند دانشگاه هاروارد، دانشگاه Wits (آفریقای جنوبی) و Envoy Air بودند. همه آنها این حوادث را تأیید کرده‌اند.

هفته گذشته، واشنگتن پست نیز تأیید کرد که در طول این کمپین مورد حمله قرار گرفته است، اما جزئیات بیشتری ارائه نکرد.

در همین حال، اکثر قربانیان ادعایی دیگر هنوز هک یا نشت داده‌ها را تأیید نکرده‌اند، از جمله Schneider Electric و Emerson و همچنین همه موارد فوق.

سایر قربانیان ادعایی شامل شرکت‌هایی در زمینه تولید، خدمات حرفه‌ای، خدمات رفاهی، ساخت و ساز، بیمه، امور مالی، حمل و نقل، فناوری، خودرو و انرژی هستند.

ظاهراً همه آنها در حال انجام تحقیقات هستند (یا حداقل شروع کرده‌اند)، اما قصد ندارند یافته‌های خود را به اشتراک بگذارند. بنابراین، Cl0p شروع به افشای داده‌های سرقت شده کرده است - در حال حاضر، این لیست شامل ۱۸ قربانی است که داده‌های آنها اکنون در دسترس عموم قرار دارد.

تحلیل ساختاری برخی از فایل‌های فاش شده نشان می‌دهد که احتمالاً همه آنها مستقیماً با محیط اوراکل مرتبط هستند.

در واقع، با توجه به کمپین‌های قبلی Cl0p شامل Cleo، MOVEit و Fortra، شکی در مورد مشروعیت افشاگری‌ها و جدی بودن اهداف این باند وجود ندارد.

با این حال، جزئیات دیگری ناشناخته مانده است: کدام آسیب‌پذیری‌های خاص Oracle EBS در این حمله مورد سوءاستفاده قرار گرفته‌اند.

به احتمال زیاد CVE-2025-61882 و CVE-2025-61884 هستند، زیرا هر دو می‌توانند از راه دور و بدون احراز هویت یا تعامل با کاربر برای دسترسی به داده‌های حساس مورد سوءاستفاده قرار گیرند.

علاوه بر این، در مورد CVE-2025-61882، ظاهراً بهره‌برداری از آسیب‌پذیری روز صفر حداقل دو ماه قبل از انتشار وصله‌ها آغاز شده است، که با امضای این اشکالات سازگار است.

اما خواهیم دید.

💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

شرکت Comparitech نتایج تحلیل رمز عبور ۲۰۲۵ خود را منتشر کرده است که یافته‌های آن به‌طور سنتی برای این موضوع ناامیدکننده بوده است.

محققان بیش از ۲ میلیارد حساب کاربری را از نشت‌هایی که در وب تاریک و گزارش‌های واکنش به حوادث جمع‌آوری کرده بودند، تجزیه و تحلیل کردند.

این مطالعه فقط شامل داده‌هایی بود که واقعاً در سال ۲۰۲۵ به خطر افتاده بودند.

Comparitech با استفاده از این داده‌ها، فهرستی از پرکاربردترین رمزهای عبور را ارائه کرد.

۱۰ مورد برتر، همانطور که احتمالاً حدس زده‌اید، شامل رهبران همیشگی این رتبه‌بندی ضد-رتبه‌بندی در رتبه اول هستند - ۱۲۳۴۵۶ با ۷۶۱۸۱۹۲ منشن.

به ترتیب نزولی، 12345678 (3,676,487)، 123456789 (2,866,100)، admin (1,987,808)، 1234 (1,771,335)، Aa123456 (1,411,847)، 12345 (1,301,052)، password (1,082,010، و Password is 470,313)، 123 (959,741) و 1234567890 (674,200) در رتبه‌های بعدی قرار دارند.


تعداد شگفت‌انگیزی از رمزهای عبور، اعدادی هستند که به راحتی حدس زده می‌شوند و به ترتیب صعودی یا نزولی هستند. یک چهارم از 1000 رمز عبور برتر منحصراً از اعداد تشکیل شده‌اند.


38.6٪ شامل توالی اعداد "123" و 2٪ دیگر شامل ارقام نزولی "321" بودند. به طور مشابه، ۳.۱٪ شامل توالی حروف "abc" بودند. بسیاری از رمزهای عبور رایج از یک کاراکتر تشکیل شده‌اند. "۱۱۱۱۱۱" هجدهمین رمز عبور رایج و "****" سی و پنجمین رمز عبور رایج است.

همه این اعداد و حروف اغلب با کلمات ضعیف مشابه مانند "password"، "admin" و "qwerty" ترکیب می‌شوند.

۳.۹٪ از ۱۰۰۰ رمز عبور رایج شامل نوعی از "pass" یا "password" بودند، ۲.۷٪ شامل نوعی از "admin"، ۱.۶٪ شامل رشته "qwerty" و ۱٪ شامل کلمه "welcome" بودند.

"Minecraft" در بین رمزهای عبور در مجموعه داده‌های تجزیه و تحلیل شده، رتبه ۱۰۰ را کسب کرد و تقریباً ۷۰،۰۰۰ بار به علاوه ۲۰،۰۰۰ بار دیگر با alt-case "Minecraft" ظاهر شد.

رمز عبور "India@123" که در رتبه ۵۳ قرار دارد، به عنوان یک رمز عبور بسیار رایج اما کمتر جهانی، برجسته است.

توزیع طول به شرح زیر است: ۶۵.۸٪ از رمزهای عبور مورد بررسی شامل کمتر از ۱۲ کاراکتر، ۶.۹٪ کمتر از ۸ کاراکتر و ۳.۲٪ از ۱۶ کاراکتر یا بیشتر استفاده کرده‌اند.

بنابراین، در اینجا چیزی برای اظهار نظر وجود ندارد.💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

مایکروسافت جزئیات یک حمله کانال جانبی جدید به نام Whisper Leak را فاش کرده است که به یک مهاجم بالقوه اجازه می‌دهد موضوعات حساس پرس‌وجو را از ترافیک رمزگذاری شده بین کاربران و مدل‌های زبانی بزرگ (LLM) استخراج کند.

به گفته محققان، نشت داده‌های رد و بدل شده بین افراد و مدل‌های زبانی در حالت پخش، تهدیدی جدی برای حریم خصوصی ارتباطات کاربران و شرکت‌ها محسوب می‌شود.

علاوه بر این، مایکروسافت خطرات اصلی Whisper Leak را با بازیگرانی مرتبط می‌داند که توانایی نظارت بر ترافیک رمزگذاری شده را دارند.

این افراد شامل سازمان‌های اطلاعاتی با تجهیزات خود، ISPها و مهاجمان پیچیده مستقر در همان شبکه محلی هستند.

با وجود استفاده گسترده از رمزگذاری TLS، محققان نشان دادند که الگوهای موجود در اندازه بسته‌ها و زمان انتقال می‌توانند اطلاعات کافی را برای طبقه‌بندی موضوعات مکالمه با دقت قابل توجه فاش کنند.

محققانی که Whisper Leak را کشف کردند، جزئیات فنی را به ۲۸ ارائه دهنده اصلی LLM افشا کردند که ترافیک آنها را برای بیش از ۲۱۰۰۰ درخواست در هر مدل رصد کردند.

آنها با استفاده از طبقه‌بندی‌کننده‌های پیشرفته یادگیری ماشین، مدل‌ها را آموزش دادند تا موضوعات حساس، مانند پولشویی، را از موضوعات بی‌خطر در یک مجموعه داده آشفته تشخیص دهند.

نکته قابل توجه این است که ۱۷ مدل آزمایش‌شده، تحت عدم تعادل نسبت نویز به هدف شبیه‌سازی‌شده ۱۰۰۰۰:۱، به دقت ۱۰۰٪ با بازیابی ۵-۲۰٪ دست یافتند.

این حمله ماژول‌های LLM را که پاسخ‌های توکن‌شده را از طریق اتصالات رمزگذاری‌شده HTTPS ارسال می‌کنند، هدف قرار می‌دهد. TLS محتوا را رمزگذاری می‌کند اما اندازه یا زمان تحویل بسته‌های منفرد را پنهان نمی‌کند.

Whisper Leak از این ویژگی سوءاستفاده می‌کند و به مهاجم اجازه می‌دهد ترافیک رمزگذاری‌شده بین کاربر و یک سرویس LLM را مشاهده کند، اندازه بسته‌ها و توالی‌های زمانی را استخراج کند و در نهایت از طبقه‌بندی‌کننده‌های آموزش‌دیده برای تعیین اینکه آیا موضوع مکالمه با یک دسته هدف حساس مطابقت دارد یا خیر، استفاده کند.

همانطور که محققان خاطرنشان می‌کنند، این یک نقص در خود TLS نیست، بلکه یک مشکل اساسی در تعاملات LLM مدرن با کاربران است، که در آن ترکیب تولید خودهمبستگی، APIهای جریانی و ابرداده‌های رمزگذاری، آسیب‌پذیری‌هایی را ایجاد می‌کند.

آزمایش‌ها نشان داد که آسیب‌پذیرترین مدل‌ها، مدل‌های OpenAI (GPT-4o-mini، GPT-4.1)، مایکروسافت (DeepSeek)، X.AI (سری Grok)، Mistral و Alibaba (Qwen2.5) بودند.


همه آنها اغلب پاسخ‌ها را یک به یک توکن ارسال می‌کردند که آنها را آسیب‌پذیرتر می‌کرد.


مدل‌های گوگل (Gemini) و آمازون (Nova) انعطاف‌پذیری بیشتری نشان دادند، احتمالاً به دلیل دسته‌بندی توکن‌ها، اما هنوز کاملاً در برابر حمله مصون نبودند.


علاوه بر این، محققان به این نتیجه رسیدند که هیچ یک از استراتژی‌های کاهش (بذردهی تصادفی، دسته‌بندی توکن یا تزریق بسته) حمله را به طور کامل خنثی نکردند.


بدتر از آن، محققان دریافتند که اثربخشی Whisper Leak می‌تواند با جمع‌آوری داده‌های آموزشی بیشتر توسط مهاجم در طول زمان افزایش یابد.


این بدان معناست که حملات کانال جانبی به سیستم‌های هوش مصنوعی ممکن است با گذشت زمان به طور فزاینده‌ای قدرتمند شوند.


پس از افشای مسئولانه، از ژوئن ۲۰۲۵، OpenAI، Mistral، Microsoft و xAI اقدامات کاهش خطر را اجرا کردند، در حالی که سایر فروشندگان پاسخی نداده‌اند.

💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

یک حمله غیرفعال جدید که توسط محققان چینی اعلام شده است، به نام U-Print، کاربران گوشی‌های هوشمند را با دقت ۹۸٪ با رهگیری و تجزیه و تحلیل ترافیک رمزگذاری شده Wi-Fi شناسایی می‌کند.

U-Print منحصراً در لایه MAC بی‌سیم عمل می‌کند و می‌تواند نه تنها برنامه‌های مورد استفاده، بلکه اقدامات خاص درون برنامه و همچنین هویت کاربر را بدون نیاز به رمزگشایی ترافیک یا تغییر آدرس‌های MAC تصادفی، تعیین کند.

روش حمله شامل قرار دادن یک شنودگر غیرفعال توسط مهاجم در ناحیه پوشش بی‌سیم محیط هدف (مثلاً دفتر یا خانه) است.

هیچ رمز عبور یا دسترسی به شبکه لازم نیست؛ نزدیکی به سیگنال Wi-Fi کافی است.

سپس سیستم بر اساس الگوهای تعامل برنامه، پروفایل‌های رفتاری کاربران را ایجاد می‌کند که به طور بالقوه امکان استنتاج در مورد ویژگی‌های شخصی مانند سن، جنسیت و حتی سلامت روان را فراهم می‌کند.

حملات قبلی، استفاده از برنامه را شناسایی می‌کردند، اما به طور قابل اعتمادی کاربر تولیدکننده ترافیک را شناسایی نمی‌کردند، به خصوص تحت تصادفی‌سازی آدرس MAC - دفاعی که اکنون به طور گسترده در گوشی‌های هوشمند مورد استفاده قرار می‌گیرد.

رویکرد U-Print بر اساس این ایده است که ترجیحات فردی، مانند انتخاب برنامه و الگوهای استفاده، الگوهای متفاوتی را در ابرداده‌های لایه MAC، از جمله اندازه بسته، زمان انتقال و جهت، شکل می‌دهند.

به عنوان مثال، دو کاربر ممکن است از واتس‌اپ استفاده کنند، اما یکی ممکن است چت متنی را ترجیح دهد در حالی که دیگری پیام‌های صوتی را ترجیح می‌دهد، که منجر به تفاوت‌های ظریف در الگوهای ترافیک می‌شود.

محققان U-Print را در یک محیط اداری در دنیای واقعی آزمایش کردند و از یک لپ‌تاپ لنوو و یک کارت شبکه که Kali Linux را اجرا می‌کند، برای جمع‌آوری غیرفعال ترافیک Wi-Fi از ۱۲ کاربر تلفن هوشمند در ۴۰ برنامه تلفن همراه استفاده کردند.

نتایج چشمگیر بود: دقت طبقه‌بندی برنامه ۹۸.۷٪، دقت شناسایی عمل ۹۶.۸٪ و دقت شناسایی کاربر ۹۸.۴٪ با امتیاز F1 0.983، حتی هنگام استفاده از آدرس‌های MAC تصادفی بود.

علاوه بر این، عملکرد این روش با وجود چالش‌های معمول در دنیای واقعی مانند از دست دادن بسته (تا ۱۵٪)، نویز برنامه‌های پس‌زمینه (حتی زمانی که چندین برنامه به طور همزمان ترافیک ایجاد می‌کنند) و تغییرات محیطی، پایدار ماند.

اگرچه U-Print هنوز فقط یک مدل حمله نظری است، اما این مطالعه شکاف‌های جدی در سیستم‌های امنیتی شبکه‌های بی‌سیم مدرن را آشکار می‌کند.

حتی شبکه‌های Wi-Fi رمزگذاری شده با استفاده از استانداردهای مدرن مانند WPA3 و تصادفی‌سازی آدرس MAC قادر به جلوگیری از چنین حملاتی با هدف شناسایی و شکل‌دهی رفتار کاربر نیستند.

محققان به عنوان اقدامات محافظتی ممکن در برابر شناسایی U-Print، مبهم‌سازی ترافیک، تصادفی‌سازی اندازه و زمان بسته، تصادفی‌سازی آدرس‌های MAC و ترکیب سیگنال‌های رفتاری را پیشنهاد می‌کنند.

💡اگر این متن دیدگاه شما را تغییر داد، باذکر منبع به اشتراک بگذارید.
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t